Archivo de la etiqueta: Investigación

Solo con el tacto pueden robar tus claves de cifrado

ataques-con-el-tacto-encriptacion

Investigadores de la Universidad de Tel Aviv han demostrado que se pueden robar las claves de descifrado del GnuPG solo con tocar las partes metálicas de los ordenadores portátiles.

Hay varias formas de atacar sistemas de encriptación. Por un lado, existen debilidades en los mismos algoritmos que hacen que sea fácil averiguar la clave de descifrado. En el otro extremo están la propia vulnerabilidad humana que permite obligar a alguien a entregar la clave.

En el centro de ambos extremos encontramos las vulnerabilidades que dependen de la forma en la que los sistemas han sido implementados. Los sistemas de cifrado, ya sean de software como de hardware, pueden filtrar información sobre las claves que utilizan de formas indirecta, como mediante el rendimiento de la caché del sistema, o el tiempo necesario para realizar las operaciones de cifrado y descifrado. Los ataques que utilizan estas fugas de información indirectas se conocen como ataques de canal lateral.

Esta investigación está basada en un ataque de canal lateral. Las partes metálicas de un ordenador portátil, como el blindaje alrededor de los puertos USB, y las aletas del disipador de calor, están sometidas a pequeñas fluctuaciones debido a los campos eléctricos producidos dentro del portátil. Estas variaciones pueden ser medidas, y estas se puede utilizar para filtrar información de las claves de cifrado.

Las mediciones se pueden realizar conectando directamente un digitalizador a una de las partes metálicas del portátil, pero no tiene por qué ser tan evidente. Los investigadores demostraron que podían recuperar la información con conexiones en el extremo más alejado del USB blindado, el VGA o las conexiones Ethernet.

También probaron con una persona en contacto con partes metálicas del portátil a la vez que estaba conectado a un digitalizador, y las fluctuaciones de voltaje se pudieron medir igualmente.

Mientras que la recuperación de la información era mejor cuando se utiliza con el equipo de laboratorio de alta gama, los investigadores también experimentaron con un teléfono inteligente conectándose al blindaje Ethernet a través del puerto de auriculares, y encontraron que era suficiente para llevar a cabo algunos ataques.

Los investigadores han informado de sus conclusiones a los desarrolladores de GnuPG, y el software ha sido modificado para reducir el filtrado de información mediante este método. Incluso con esta alteración, el software no es inmune a este ataque de canal lateral, y se pueden distinguir  diferentes claves de cifrado.

Crowdpilot, una aplicación de ayuda con posibles malas consecuencias

Lauren McCarthy ha lanzado Crowdpilot, una aplicación para iOS diseñada para invitar a amigos y extraños a escucharte mediante una transmisión de audio en vivo. Esta transmisión se hace pública en busca de consejo o ánimos.

crowdpilot-featured

McCarthy realizo la aplicación en colaboración con el estudio de diseño holandés Perceptors. Su experiencia en este área se basa en un experimento social que inició el pasado año, en él se embarca en una serie de citas a ciegas que fueron transmitidas en directo a Mechanical Turk. Con esta transmisión buscaba mejorar el resultado de la cita gracias a los consejos que recibía de Mechanical Turk mientras se desarrollaba la cita. Este experimento se llamó “turkers social” y Crowdpilot es un intento de “perfeccionar ese sistema“, dijo McCarthy.

Crowdpilot permite el crowdsourcing de tus conversaciones, invitando a un grupo de personas para que escuchen y den sugerencias en tiempo real“, dice McCarthy. Solo tienes que abrir la aplicación, elegir entre una gran variedad de tipos de conversación (cita, pelea, reunión, etc.), y decidir quien quieres que lo escuche. Puedes optar por solo amigos de Facebook , dejarla abierta para cualquier persona que esté en la página web de Crowdpilot, o pagar un dólar por la contratación de un grupo de trabajadores del crowdsourcing de Amazon, Mechanical Turk.

Crowdpilot (AppStore Link) Crowdpilot
Desarrollador: Lauren McCarthy
Rated: 12+
Precio: Gratis Download (Aff.Link)

McCarthy recuerda que cualquier persona que utilice la aplicación debe advertir a todos los participantes, que estará siendo escuchados por terceros. Aunque es posible ejecutar Crowdpilot en el iPhone con la pantalla apagada, no se puede ejecutar en segundo plano, lo que reduce el potencial de la aplicación como una herramienta de espionaje. “Usted es responsable de la divulgación de cada sesión de Crowdpilot a todas las partes involucradas y de la obtención de su consentimiento expreso para transmitir el contenido de su interacción“, se lee en sus términos de servicio.

La autora defiende el proyecto desde el punto de vista social, la app es gratis y el pago por asesoramiento reconocido es a Amazon, no busca enriquecerse sino mejorar la interacciones entre individuos con dificultades de socialización. El problema es el resto de individuos, ¿cómo sabrás que la bronca que te está dando tu jefe no la están oyendo los demás jefes para luego amenizarse el café? ¿Cuántas bromas en directo podemos soportar?

¿Qué opinas? Útil o aterradora.